26. November 2016

Informationssicherheit: Woran erkennt man akuten Handlungsbedarf und wie wichtig ist die Unterstützung der Unternehmensführung?

Kurz vor dem Ende eines Projektes zur Entwicklung einer neuen E-Commerce-Webanwendung, wendet sich der Projektleiter an die IT-Sicherheit und bittet um schnellstmögliche Freigabe der Applikation für den IT-Betrieb, da seinerseits feste Zusagen bezüglich des Live-Gangs getroffen wurden und jede weitere Verzögerung das ohnehin schon knappe Projektbudget überfordern würde. Die IT-Sicherheit erkennt die Dringlichkeit seines Anliegens und bittet den Datenschutzbeauftragten, den Informationssicherheitsbeauftragten sowie den verantwortlichen Softwareentwickler und IT-Administrator zum Gespräch. Der Softwareentwickler sieht bei der gewählten Programmiersprache einige Schwachstellen, die beispielsweise durch Codereviews abgefangen werden müssen. Jedoch traut er sich nicht seine Bedenken zu äußern, da seine Abteilung bereits bei mehreren Projekten in Verzug ist und die Überstunden deshalb stark zugenommen haben. Der IT-Administrator erkennt, dass ihm die geplante Wartung der Anwendung durch einen externen Dienstleister zusätzliche Arbeit ersparen kann und verdrängt seine Gedanken bezüglich der dafür benötigten Zugriffsrechte in das Unternehmensnetzwerk, die der Fremdfirma gewährt werden müssen. Der Datenschutzbeauftragte arbeitet kommissarisch und seine primäre Tätigkeit lässt ihm leider kaum Zeit an solchen Besprechung teilzunehmen. Er bittet den Informationssicherheitsbeauftragten in seinem Interesse zu handeln und freut sich über eine Zusammenfassung der Ergebnisse via Mail. Der Informationssicherheitsbeauftragte wiederum erkennt die Reichweite des Projekts (Auswirkung bei Verfügbarkeitseinschränkungen oder Datenabfluss) und fordert daher einen Penetrationstest vor dem Live-Gang sowie die Einhaltung der relevanten Richtlinien. Ihm ist bewusst, dass das Projekt weder über die Zeit noch das Budget für seine Forderungen verfügt und bedauert, dass die von ihm vor geraumer Zeit überarbeitete Informationssicherheitsrichtlinie noch nicht Unterzeichnet worden ist. Diese Neufassung soll nämlich wichtige Aspekte der Informationssicherheit regeln und grundlegende Anforderungen sowie Quality Gates für neue Projekte vorgeben. 
 
Diese fiktive Geschichte wurde von mir bewusst überspitzt. Falls Ihnen jedoch der eine oder andere Punkt bekannt vorkommt, besteht Handlungsbedarf und externe Unterstützung kann zur Steigerung des Senior Management Commitments sehr hilfreich sein. 
Tags: Datenschutz, Richtlinien, Beratung, Consulting, Coaching
Beratung: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
Audit: ISO 27001, B3S, KRITIS, IT-SiKat, TISAX®, VAIT, VDA ISA, §8a BSIG, KritisV, ISO 27002, IT-Sicherheitskatalog, ISO 27019, §11 1a EnWG, §11 1b EnWG
KRITIS-Prüfung: B3S KRITIS, Ernährung, Ernährungsindustrie, Ernährungswirtschaft, Anlagen zur Steuerung und Bündelung (Aggregatoren), Gesundheitsversorgung im Krankenhaus, Pharma, Datacenter & Hosting

TISAX® ist eine eingetragene Marke der ENX Association. Ich stehe in keiner geschäftlichen Beziehung zur ENX. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.